Aktivieren der Kerberos-Delegierung

Die Kerberos-Delegierung ermöglicht Tableau Server die Verwendung der Kerberos-Anmeldeinformationen der Person, die eine Arbeitsmappe oder Ansicht anzeigt, um für den Anzeigenden eine Abfrage auszuführen. Diese Option ist in den folgenden Situationen hilfreich:

Sie müssen wissen, wer auf die Daten zugreift (der Name der anzeigenden Person wird in den Zugriffsprotokollen für die Datenquelle angegeben).
Für Ihre Datenquelle ist Sicherheit auf Zeilenebene festgelegt, das heißt, unterschiedliche Benutzer können auf unterschiedliche Zeilen zugreifen.

Unterstützte Datenquellen

Tableau unterstützt die Kerberos-Delegation mit folgenden Datenquellen:

Cloudera: Hive, Impala
Denodo
Hortonworks
MSAS
Oracle
PostgreSQL
Spark
SQL Server
Teradata
Vertica
TIBCO

Anforderungen

Für die Kerberos-Delegierung ist Active Directory erforderlich.

Der Identitätsspeicher von Tableau Server muss für die Verwendung von Active Directory konfiguriert sein.
Der Computer, auf dem Tableau Server installiert ist, muss an die Active Directory-Domäne angeschlossen sein.
MIT Kerberos KDC wird nicht unterstützt.
Ein Wertebereichskonto muss in Tableau Server als das "Ausführen als"-Dienstkonto konfiguriert sein. Siehe Verändern des "Ausführen als"-Dienstkontos. Wenn sich Ihre Benutzer in einer Active Directory-Domäne befinden, die sich von der unterscheidet, in der sich Tableau Server und die Datenquelle befinden, muss die Domänenvertrauensstellung konfiguriert werden. Siehe Vertrauensanforderungen an Domänen für Active Directory-Bereitstellungen.
Delegierung konfiguriert. Gewähren Sie dem "Ausführen als"-Dienstkonto Delegierungsrechte für die Service Principal Names (SPNs) der Zieldatenbank. An das "Ausführen als"-Dienstkonto wird die Berechtigung delegiert, im Namen des initiierenden Quellbenutzers auf Ressourcen zuzugreifen.
Wenn Sie die Delegierung für Tableau Server 2020.2 oder höher mit einer Oracle-Datenquelle mithilfe eines JDBC-basierten Connectors konfigurieren, finden Sie weitere Informationen unter Aktivieren der Kerberos-Delegierung für JDBC-Connectoren. Ab Tableau 2020.2 verwendet der Oracle-Connector JDBC.

Web-Authoring und Kerberos-Authentifizierung von Benutzern

Wenn Sie das Herstellen einer Verbindung zu Daten für ein bestimmtes Ziel konfigurieren, können Sie die integrierte oder Windows-Authentifizierung als bevorzugte Authentifizierungsmethode auswählen. Bei Web-Authoring-Szenarien besteht das Standardverhalten jedoch darin, stattdessen das Kerberos-Dienstkonto („Ausführen als“-Konto) zu verwenden.

Um Benutzeranmeldeinformationen in Web-Authoring-Szenarien mit Kerberos-Delegierung zu aktivieren, müssen Sie eine zusätzliche Konfiguration mit TSM vornehmen. Führen Sie die folgenden Befehle aus:

tsm configuration set -k native_api.WebAuthoringAuthModeKerberosDelegation -v true

tsm pending-changes apply

Nach dieser Konfiguration wird die Kerberos-Delegierung zum Standardvorgang, wenn Sie die integrierte Authentifizierung mit Web-Authoring auswählen. Diese Einstellung verhindert jedoch nicht, dass Inhaltsersteller auf das Dienstkonto zugreifen. Ersteller können weiterhin Inhalte veröffentlichen, die mit dem „Ausführen als“-Dienstkonto verknüpft sind, indem sie Tableau Desktop oder andere Methoden verwenden.

Weitere Informationen zum Dienstkonto "Ausführen als" finden Sie unter Datenzugriff mit dem Konto "Als Dienst ausführen".

Konfigurationsprozess

Dieser Abschnitt bietet ein Beispiel für den Vorgang zur Aktivierung der Kerberos-Delegation. Das Szenario enthält zudem Beispielnamen, die Beziehungen zwischen den Konfigurationselementen beschreiben sollen.

Konfigurieren Sie das Konto Als Benutzer ausführen in allen Tableau Server-Knoten, sodass es als Teil des Betriebssystems fungiert. Weitere Informationen finden Sie unter Aktivieren des Kontos "Als Dienst ausführen" als Betriebssystem.
Für Tableau Server ist ein Kerberos-Service-Ticket erforderlich, um im Namen des Benutzers zu delegieren, der den Aufruf der Datenbank initiiert. Sie müssen ein Domänenkonto erstellen, das für die Delegierung an die jeweilige Datenbank verwendet wird. Dieses Konto wird als "Ausführen als"-Dienstkonto bezeichnet. In diesem Thema lautet der als Delegierungskonto/Konto vom Typ "Ausführen als" konfigurierte Beispielbenutzer tabsrv@example.com.
Das Konto muss mit Active Directory-Benutzer und Computern auf einem Windows-Server konfiguriert werden, der mit der Benutzerdomäne verbunden ist:
- Öffnen Sie die Seite Eigenschaften für das "Ausführen als"-Dienstkonto, klicken Sie auf die Registerkarte Delegierung, und wählen Sie die Optionen Diesen Benutzer nur bei der Delegierung an bestimmte Dienste als vertrauenswürdig einstufen und Beliebiges Authentifizierungsprotokoll verwenden aus.
Führen Sie den folgenden TSM-Befehl aus, um die Kerberos-Delegierung zu aktivieren:
tsm configuration set -k wgserver.delegation.enabled -v true
Führen Sie den folgenden TSM-Befehl aus, um die Änderungen auf Tableau Server anzuwenden:
tsm pending-changes apply
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
(Optional) Konfigurieren des Tableau Servers für die Verwendung des MIT Kerberos Prinzipal-Formats.
Standardmäßig generiert Tableau Server Kerberos-Prinzipale mithilfe des Active Directory-Kurznamens. Wenn Tableau Server beispielsweise die Kerberos-Delegierung für einen Benutzer in EXAMPLE.COM ausführt, mit einem kurzen Namen EXAMPLE, lautet der Prinzipalname: user@example.
Wenn die Datenbank unter Linux ausgeführt wird, müssen Sie möglicherweise die auth_to_local-Zuordnung in krb5.conf anpassen. Informationen zum Bearbeiten der Datei "krb5.conf" finden Sie unter Konfiguration der Kerberos-Delegierung für mehrere Domänen. Alternativ können Sie den Tableau Server so konfigurieren, dass der vollständige Domänenname für Kerberos-Prinzipale verwendet wird, indem Sie die folgenden Befehle ausführen:
```
tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false --force-keys
tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true --force-keys
tsm pending-changes apply
```
Aktivieren der Delegierung für Datenverbindungen:
- SQL Server: Siehe Aktivieren der Kerberos-Delegierung für SQL Server(Link wird in neuem Fenster geöffnet) in der Tableau Community.
- MSAS: Siehe Aktivieren der Kerberos-Delegierung für MSAS(Link wird in neuem Fenster geöffnet) in der Tableau Community.
- PostgreSQL: Siehe Aktivieren der Kerberos-Delegierung für PostgreSQL(Link wird in neuem Fenster geöffnet) in der Tableau Community.
- Teradata: Siehe Aktivieren der Kerberos-Delegierung für Teradata(Link wird in neuem Fenster geöffnet) in der Tableau Community.
- Oracle: Siehe Aktivieren der Kerberos-Delegierung für Oracle(Link wird in neuem Fenster geöffnet) in der Tableau Community.
- Cloudera: Siehe Aktivieren der Kerberos-Delegierung für Hive/Impala(Link wird in neuem Fenster geöffnet) in der Tableau Community.
- Vertica: Siehe Aktivieren der Kerberos-Delegierung für Vertica(Link wird in neuem Fenster geöffnet) in der Tableau Community.
- TIBCO: Siehe Abschnitt 4, Kerberos SSO Configuration for TDV on Windows(Link wird in neuem Fenster geöffnet), im TIBCO Professional Services-Handbuch, TDV Integration with Kerberos.
Siehe auch
Problembehebung für Kerberos

Andere Artikel in diesem Abschnitt

Zurück zum Anfang

Vielen Dank für Ihr Feedback!

Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.

Hilfe zu Tableau Server für Windows